ニフクラ ブログ

ニフクラ/FJ Cloud-Vやクラウドの技術について、エンジニアが語るブログです。

【レポート】第26回ニフクラエンジニアミートアップ『ウィズコロナ時代のテレワークセキュリティ超入門』

こんにちは。 ニフクラエンジニアミートアップ事務局の鮫島です。

2020年6月30日(火)に第26回ニフクラエンジニアミートアップを開催しました。 前回に続いてZoomミーティングをYouTube Liveにも配信するオンライン開催となりました。

テーマは、前回に続いてテレワーク関連ですが『ウィズコロナ時代のテレワークセキュリティ超入門』ということで、大手セキュリティソリューションベンダーのトレンドマイクロ社にもお声がけして、さまざまな方法で行われたテレワークのセキュリティを振り返るという趣旨のものでした。

fujitsufjct.connpass.com

4半期が終わる忙しいタイミングでの開催でしたが、本当にたくさんの方にご参加いただきました。ありがとうござました!

まずは、モデレーターの宮原氏による恒例の乾杯からスタートしました。

f:id:sameshima_fjct:20200710150112j:plain
右隅で乾杯の発声をするも緑色の缶がグリーンバックに溶け込んでいる宮原氏

「緊急事態宣言解除後のセキュリティ・チェックリストを解説する」

トップバッターは、富士通クラウドテクノロジーズ株式会社ビジネスデザイン本部サービスデザイン部の鮫島宗隆(って自分ですが)による、緊急事態宣言下のセキュリティ的にギリギリなテレワークをあらためて振り返るという趣旨の「前説」セッションを行いました。

日本ネットワークセキュリティ協会が、6月12日に公開したセキュリティ・チェックリストが下記になります。 www.jnsa.org

大きく4項目に分かれたチェックリストをそれぞれ解説しました。

総務省のテレワークセキュリティガイドラインには、「ルール」「人」「技術」のバランスの良い実施が重要という記載があります。その考え方に沿って振り返りを行うと、現在のセキュリティ対策は「ルール」「人」に偏っているのではないか?というのが私の見解です。クラウド事業者という視点では、「ルール」「人」に依存した対策をできるだけ「技術」で解決していく方向に近づけることがニューノーマルに適応したテレワークの在り方だと考えます。

f:id:sameshima_fjct:20200710155914p:plain
技術>ルールと人

ということで、ここからのセッションではテレワークのセキュリティを技術的な観点で語っていただきます…とまとめました。

詳しくは、こちらのスライドとYouTube LIVEの動画もご覧ください。

www.slideshare.net

youtu.be

「入社2年目社員から見たDaaSの運用とセキュリティ」

続いて、テレワーク実施率95%を達成した当社の情シス部門(ワークスタイル開発本部オフィスソリューション部)の長尾彪真(入社2年目)に、緊急事態宣言下でのDaaSの全社運用とセキュリティについて語ってもらいました。

入社2年目にして、全社員が出社停止・テレワークを行うという事態になり、修羅場に放り込まれたようなものでしょう。 テレワークで活用されたのが、2017年から全社で導入されていたニフクラのデスクトップサービス(DaaS/専有型)です。
社員はもちろん協力会社や派遣社員、さらには最初からテレワークという新入社員まで、どのようにアクセス管理を行いセキュリティを確保したか?をシンプルに説明してくれました。

f:id:sameshima_fjct:20200710162615p:plain
VDI(DaaS)でよかったこと

DaaSを導入したのは、2017年であり当時は私自身、「VDI?なんとなくめんどうだなあ」程度の印象しか持っていませんでした。そして、ほんの数回しかテレワークを行ったことはありませんでした。しかし、部門によっては自宅からの緊急メンテナンスなどに活用していたために、比較的スムーズに全社テレワーク体制に移行できました。

もちろん、よかったことだけではなく、苦労した点も多々あったようです。特に、サーバー専有型であることは高いパフォーマンスと引き換えにOSアップデートなどは一括で行うことが出来ない点です。また、新入社員の研修をテレワークで行うにあたって、結果的にセキュリティポリシーの変更を伴う緊急措置が行われたようです。

f:id:sameshima_fjct:20200710163530p:plain
新入社員の研修もテレワークで

まとめとして長尾が語ったのは、「セキュリティと利便性はトレードオフ」ということでした。DaaSは高いセキュリティと運用側への利便性をもたらすサービスですが、それでもテレワークを快適に行うには「人」「組織」などに依存する部分が残っていることに他ならないでしょう。

ニューノーマルでは、テレワークが必須になるといわれていますが、情シス担当者はテレワーク環境をセキュアかつ快適に運用するためには、重要な役割を担うことになります。情シス担当者の感染リスクを下げられるITインフラ、すなわちクラウド基盤の重要さを改めて認識させられるセッションでした。

※当社のテレワーク事情についてはこちらのブログ記事もご覧ください。 詳しくは、こちらのスライドとYouTube LIVEの動画もご覧ください。

www.slideshare.net

youtu.be

「テレワークの情報セキュリティ対策」

今回のメイン登壇者は、トレンドマイクロ社のエンタープライズSE部 セールスエンジニアリング部サーバセキュリティチーム課長鈴木真史氏でした。

急速に普及するテレワークで新たな課題となってきたセキュリティの確保。特に「技術的対策」に焦点を当て、対策のポイントを解説するという内容のセッションです。

テレワークのさまざまな方法論に対しどのような対策を行うか、という点は皆さん興味がある点ではないでしょうか。

f:id:sameshima_fjct:20200710171158p:plain
総務省のテレワークセキュリティガイドラインより

まず、実際に行われたテレワークの方法論をマトリックス化したものが表示されました。 これに対して、トレンドマイクロ社が具体的な対策方法(ソリューション)を当てはめたものが後ほど提示されます。 YouTube Liveのコメント欄で「わかりやすい」と評判でした。

テレワークの普及によって発生するセキュリティの脅威は、実際に企業に対するサイバー攻撃が発生している事例もあり、可及的速やかに対策を行うべき段階にあると考えられます。

f:id:sameshima_fjct:20200710172210p:plain
持ち出しPCやSaaS、個人PCのセキュリティ脅威

持ち出しPC、SaaS、VDI、個人PCと一つの企業でも複数の方法論でテレワークが行われているケースがあります。

テレワークによって、社内ネットワークという閉じた世界に外からアクセスすることが当然になったことで、従来から行われてきた境界型防御では対応が困難になってきているため、テレワークの方法論別に適切な防御方法を適用する必要があるということが説明されました。トレンドマイクロ社が提案する対策をまとめたのが先に述べた下記の図になります。

f:id:sameshima_fjct:20200710171448p:plain
トレンドマイクロ社のテレワーク方法論別ソリューション

ちなみに、ニフクラのデスクトップサービスは、トレンドマイクロ社のサーバー向けセキュリティをDSVA(Deep Security Virtual Appliance)という仮想環境向けの形式で標準実装(ユーザーが改めて導入する必要無し)しています。

詳しくは、こちらのYouTube LIVEの動画もご覧ください。 youtu.be

また、トレンドマイクロ社提供のテレワークに関するeBOOKがダウンロードできるページを当社サイトにご用意しています。

なお、この日テレワークではなく会社からセッションを行った鈴木真史氏に対し、「どうして出社されているのですか?」という質問がありました。
「カギ当番です」という意外な回答があり、笑いが起きていましたが、オフィスがある限り100%のテレワークを行うことが難しいのです。当社が95%のテレワーク率である理由もまさにここです。

「VPNなしで安全にリモートアクセスする方法」

最後に、急きょ当社直前に飛び込みで参加表明してくださったのが、remot3.it, Inc.(リモートイット)の髙濱大嗣氏です。同社では、VPNを使わずにセキュアにリモートアクセスするサービス「リモートイット」を提供しています。

現在テレワークにおいて広く利用されているVPNの持つセキュリティ課題を解説し、新しいリモートアクセスの方法「リモートイット」をデモもまじえてご紹介いただく内容でした。

f:id:sameshima_fjct:20200710175029p:plain
VPNの課題

VPNは確かに、オンプレミス環境はもちろんクラウド環境でも幅広く利用されているセキュアなリモートアクセス手段です。しかし、今回の非常事態宣言下で実施されたテレワークでも、想定を上回るトラフィックが生じVPNでボトルネックが生じて快適なテレワークができない事象が多発したと聞いています。もちろん、当社が提供するような仮想ネットワーク機器を利用するというアプローチもあると思いますが、それとは異なるアプローチで簡単にセキュアなリモートアクセスを実現するのが、「リモートイット」です。

f:id:sameshima_fjct:20200710175347p:plain
ポート単位のP2P通信でセキュアなアクセスを実現

「リモートイット」の特徴は、リモート接続を行うためのデバイス・サーバーの自由度が高く、ニフクラのようなIaaSはもちろん、ラズベリーパイのような安価でシンプルな機器を利用をすることも可能であり、実際にデモが行われました。

f:id:sameshima_fjct:20200710175831p:plain
リモートイットはさまざまな機器を利用することが可能

詳しくは、こちらのYouTube LIVEの動画もご覧ください。 www.youtube.com

多くの人が、どういう仕組みなのか興味津々でデモに見入っていました。

以上で、非常にバリエーション豊かなのテレワークのセキュリティに関するセッションは終了しました。 皆様、遅い時間までありがとうございました。

 オンライン(人生)相談会

その後、前回に続き「オンライン飲み会」が実施されました。オンライン飲み会というより、「こんな特殊な環境でテレワークができない。何かいい方法はないでしょうか」といった相談に皆で「こういう方法はどうですか?」と答えるというオンライン相談会のような雰囲気でした。最終的に、参加者同士がSNS経由で連絡を取り合って後ほど詳しいお話をうかがう展開になり、オンラインイベントの新しい交流スタイルを感じさせました。

f:id:sameshima_fjct:20200710180144p:plain
オンライン相談員の一覧

次回も、オンライン開催になりますが、近日ご案内しますのでまた7月末に皆さまとお会いできるのを楽しみにしています。